Consumentenbond.nl

Patch voor het Stagefright lek?

  • 14 september 2015
  • 112 reacties
  • 1154 Bekeken

Reputatie 3
Badge +4
Willen een paar van jullie (met kennis over het updaten van Android smartphones) checken of het Stagefright lek is gepatcht op jullie smartphone? Dat kan met de Stagefright Detector App van Zimperium. Deze app kun je downloaden vanuit de Google playstore. Let er daarbij op dat je de laatste versie hebt.

Google zou nu de Nexus toestellen hebben gepatcht en ik ben benieuwd voor welke toestellen dit nu een vervolg krijgt. Wil je in je antwoord aangeven:

    Welke smartphone (merk en type) je hebt. Welke OS versie daarop staat en van wanneer de laatste update is. Een screenshot van het resultaat van de app: het overzicht van welke kwetsbaarheden nu wel (en niet) zijn gepatcht.
Update 17-9-2015

Tot nu toe hebben we onderstaande overzicht van patches - op alfabetische volgorde van de merken. Twee Nexussen, de General Mobile 4G en de LG G4s zijn (volledig) gepatcht. Van de Samsung Galaxy Core Prime ben ik niet zeker of de informatie klopt; deze staat italic.

Update 20-9-2015

Fairphone is gepatcht (zie reactie N. van der Stappen van 20-9-2015).

Update 21-9-2015

Nexus 4 is gepatcht, zie reactie W. Minnaar van 21-9-2015.

Update 22-9-2015

HTC 601 is gepatcht, zie reactie RNA van 22-9-2015.

Update 28-9-2015

Meer modellen zijn toegevoegd, maar die zijn allemaal nog niet volledig gepatcht.

Update 29-9-2015

Nexus 10 is gepatcht, zie reactie M.J.M. van Weert.

Update 12-10-2015Er blijkt een nieuwe versie van de Stagefright Detector app beschikbaar (versie 5.0), waarbij nu ook gecontroleerd wordt op kwetsbaarheden '3876' en '6602'. Deze kwetsbaarheden en checks van twee toestellen zijn in onderstaande overzicht toegevoegd. Ook zijn een aantal checks door A. Deen toegevoegd. De Nexus 7 2gn blijkt als enige gepatcht voor alle onderstaande kwetsbaarheden.

Update 14-10-2015

Aantal toestellen blijken gepatcht voor kwetsbaarheden van Stagefright 1.0, maar nog weinig voor kwetsbaarheden van Stagefright 2.0.

Update 15-10-2015

Overzicht is bijgewerkt naar aanleiding van nieuwe checks.

Update 16-10-2015

Bijgewerkt met nieuwe resultaten. De Nexusses en de General Mobile 4G zijn gepatcht maar veel modellen van de andere merken niet.

Update 19-10-2015

Overzicht is bijgewerkt met twee smartphones van Samsung, die nog kwetsbaarheden hebben. De Huawei P8 is inmiddels gepatcht.

Update 20-10-2015

De Motorola Moto E (2014) is geÜpdatet naar Android 5.1, maar toont nog kwetsbaarheden.

Update 26-10-2015

Samsung S4 is op bijna alle of bijna geen kwetsbaarheden gepatcht, beide resultaten zijn toegevoegd aan het overzicht. De Samsung S6 is wÉl gepatcht (zie: https://twitter.com/marcwielaert/status/657859614382379009). De LG L90 en Moto E(2014) zijn nog niet gepatcht.

Update 29-10-2015

De Samsung Note 3 blijkt wel Én niet gepatcht. Beide versies zijn aan het overzicht toegevoegd.

Update 9-11-2015

We hebben de modellen die bij de Consumentenbond liggen opnieuw bekeken. Helaas nog steeds veel lekken.

Update 16-11-2015

Samsung S3 Neo aan overzicht toegevoegd.

Update 23-11-2015

Er is een nieuwe versie van de Stagefright Detector app beschikbaar. Deze checkt nu ook op kwetsbaarheid 'nummer' 6575.

De Samsung Galaxy Tab S 10.5 blijkt gepatcht for alle kwetsbaarheden.

Update 3-12-2015

Er zijn, naar aanleiding van nieuwe reacties, resultaten van smartphones toegevoegd. De OnePlus One blijkt geen kwetsbaarheden te hebben, de andere twee toestellen (Motorola Moto G2014 duosim en Huawei G750) helaas wel. Ook zijn er nieuwe checks uitgevoerd op de smartphones die de Consumentenbond heeft liggen. Daar blijken geen nieuwe ontwikkelingen.

Update 6-12-2015

OnePlus 2 is gepatcht.

Update 11-1-2016

De Samsung Galaxy S5 Plus en de Samsung Galaxy S4 zijn gepatcht.

Update 13-1-2016

De HTC One en Sony Xperia Z2 zijn gepatcht.

Update 18-1-2016

De Motorola Moto X Play en de Samsung S5 mini zijn gepatcht.

Update 19-1-2016

HTC Nexus 9 en Nexus 4 CyanogenMod zijn gepatcht.

Update 29-1-2016

De Samsung Galaxy Note 4 en Sony Xperia Z3 Compact zijn gepatcht.

Update 15-2-2016

De Samsung Galaxy K Zoom is gepatcht.

Update 18-3-2016

De HTC Desire 816 en Motorola G (2015) zijn gepatcht.

Update 27-3-2018

Info van P. Allis: de Motorola Moto G 2e generatie (duosim) heeft Android 6.0 en is volledig gepatcht.


112 reacties

Reputatie 3
Badge +2
LG G2 met Android 4.4.2 (laatste update 18 november 2014!)

niet best:

Op de Nexus7 2gen van het weekend inderdaad een update ontvangen. Volgens de app is CVE-2015-3864 nog niet gepatcht.
Reputatie 5
Badge +6
Samsung Galaxy S6 met Android 5.1.1.

Reputatie 3
Badge +4
Dank voor jullie reacties. Bij geen van jullie toestellen is CVE-2015-3864 dus gepatcht. Bij een collega hier met een Nexus 5 bleek dat ook al niet het geval. Ik ga hier intern nog wat toestellen laten checken en we maken een overzicht. Het zou mooi zijn als we in de gaten houden hoe snel/ traag het dichten van het lek verder verloopt, dan proberen we het op deze manier te 'volgen'. Eens in de zoveel tijd vraag ik daarom of jullie nog een keer de app willen 'draaien' en een screenshot willen posten. Geen verplichting, natuurlijk, maar het geeft wel interessante info.

Voor ieder ander die mogelijk mee wil helpen: heel graag.
Reputatie 3
Badge +4
Blijkt dat sinds gisteravond de Nexus 5 (volledig) is gepatcht, zie: https://twitter.com/JustusKam/status/643716894692888576. Maar hoe snel volgen andere toestellen?
Badge
Samsung Galaxy Core Prime LTE type SM G360F

Ik kon geen screenshot maken, maar uitslag was

CVE 2015-3828

VULNERABLE
Badge
Bewerken wilde niet lukken, maar

Is er iets wat we zelf kunnen doen, en hoe schadelijk is dit??
Reputatie 3
Badge +4
Stagefright is een groot lek in Android en sinds de zomer publiekelijk bekend. Bijna alle Android toestellen zijn gevoelig voor het lek, maar je kunt er zelf helaas niet zoveel tegen doen. Het is wachten op de software-update door fabrikanten. En dat... is een groot probleem, want de meeste fabrikanten zorgen niet of slecht voor de updates. De Consumentenbond dringt er bij de fabrikanten op aan om de toestellen te updaten zodat veilig ze zijn.

Wat je zelf wél tegen het Stagefright lek kunt doen, is het ontvangen van MMS-berichten blokkeren of het automatisch openen van videobestanden uitzetten. Maar dat helpt slechts tegen een specifieke manier om het lek te misbruiken.

Je kunt meer over het Stagefright lek (en wat je er wel of niet tegen kunt doen) lezen op: http://www.consumentenbond.nl/campagnes/updaten/st...

Nog een vraag voor jou/ just checking:

Was jouw toestel alleen kwetsbaar voor CVE-2015-3828 en niet voor CVE-2015-3864? Of had je een vergelijkbaar resultaat als Rob Schleiffert hierboven? Dan zou jouw toestel alleen gepatcht zijn voor 3828 en voor alle andere niet.



Bewerken wilde niet lukken, maar

Is er iets wat we zelf kunnen doen, en hoe schadelijk is dit??

Geplaatst door Damaya op Sep 15, 2015.
Net weer een android update gekregen voor de Nexus 7 en stagefright is volledig gepatcht.

Reputatie 3
Badge +4
De Nexussen raken blijkbaar steeds meer (volledig) geüpdatet. Een overzicht van wat jullie en we tot nu toe hebben bekeken, heb ik gepost in de openingsvraag (bovenin dus). Van de Samsung Galaxy Core Prime (van Damaya) vraag ik mij wel af of dit klopt; deze staat italic. Volgens dit overzicht zijn volledig gepatcht :

  • Nexus 5
  • Nexus 7 2gn en
  • General Mobile 4G
  • LG G4s
Reputatie 2
Badge +3
Gisteravond ben ik ook gepatcht! Nexus 5.

Ik voel me een stuk beter nu

😉
Badge
Fairphone heeft al in augustus een update voor hun smartphones met patch voor Stagefright uitgebracht.

Ik heb hem nu gecheckt met de Zimperium Stagefright Detector en de uitkomst is inderdaad:

Not Vulnerable.
Reputatie 3
Badge +4
De Fairphone is aan het overzicht (onder de openingsvraag) toegevoegd.



Fairphone heeft al in augustus een update voor hun smartphones met patch voor Stagefright uitgebracht.

Ik heb hem nu gecheckt met de Zimperium Stagefright Detector en de uitkomst is inderdaad:

Not Vulnerable.

Geplaatst door N. van der Stappen op Sep 20, 2015.
In de tabel kan de Nexus 4 ook worden opgenomen.

Ik heb getest met de app, en het toestel is veilig.
HTC 601 bouwjaar 11/2013

Android 4.4.2

Reputatie 3
Badge +4
Dank voor jullie reacties. Het overzicht in de openingsvraag is bijgewerkt.
Heb sinds kort de Galaxy S5 Neo en deze is helemaal gepatcht op de laatste,

CVE-2015-3864,na, helaas.
Badge +1
Ik heb een WOLFGANG AT-AS45LTE

Vandaag een update gedaan.



Mijn Samsung Galaxy S5 plus met Android versie 5.0.2 is ook kwetsbaar voor het Stagefright lek en er is nog niks bekend over een patch voor zover ik weet.

Mijn Samsung Galaxy S5 plus met Android versie 5.0.2 is ook kwetsbaar voor het Stagefright lek en er is nog niks bekend over een patch voor zover ik weet.



De LG L90 en L7II is zeker nog niet geupdate, er is geen update via OTA beschikbaar en ook niet via de LG PC suite.

Reputatie 3
Badge +4
Dank voor jullie informatie! Het overzicht is bijgewerkt - ook met meer modellen van hier. Het overzicht is nu al groot, dus ik ga ook even op zoek naar een manier om dit goed weer te geven.

@Dutchmountains: gelden dezelfde 'vulnerables' voor de LG L90 als voor de LG L7II?
Nexus 10 met Android 5.1.1 is volledig gepatched.
5 oktober komt Android 6 uit voor de verschillende Nexus apparaten. Dat is al weer de volgende Update terwijl heel veel andere apparaten nog niet eens op 5.1 zitten. Ik krijg totaal niet de indruk dat Samsung, uiteindelijk toch de grootste Android leverancier, het afgelopen jaar ook maar de geringste extra inspanning geleverd heeft om bij te geraken met de releases. Het wachten is nu op een echte ramp, stagefright is voorlopig kinderspel gebleken, en dan kijken we wel weer verder.
Reputatie 3
Badge +4
De Nexus 10 is toegevoegd aan het overzicht.

@ A. Deen: Terecht punt. Binnenkort komt Android 6.0 uit, terwijl veel andere toestellen nog niets eens op Android 5.0 zitten. En het is schokkend dat juist Samsung, die tenslotte marktleider is onder de Android smartphones, zijn toestellen (en klanten) zó laat zitten.

We hebben er bij fabrikanten op aangedrongen om hun toestellen te patchen voor wat betreft het Stagefright-lek, maar ook om te updaten naar Android 6.0. Helaas zijn de fabrikanten wederom vaag. Daaruit concludeer ik dat ze er niet écht achteraan zitten (to say the least...). De antwoorden van fabrikanten op onze vragen over updates naar Android 6.0 en patches voor Stagefright kun je hier lezen: http://www.consumentenbond.nl/campagnes/updaten/up...

Reageer